Recht·9 Min. Lesezeit

DSGVO im Softwareprojekt: Auftragsverarbeitungsvertrag (AVV) mit der Agentur

Sobald die Agentur personenbezogene Daten in Ihrem Auftrag verarbeitet, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Wann ein AVV nötig ist und welche Inhalte er zwingend braucht.

Sobald eine Agentur in Ihrem Softwareprojekt mit personenbezogenen Daten in Berührung kommt — etwa beim Hosting, im Support mit Zugriff auf Produktivdaten oder bei der Wartung einer Anwendung mit Nutzerkonten —, ist der Datenschutz kein Nebenschauplatz mehr, sondern eine rechtliche Pflicht mit Bußgeldrisiko. Das zentrale Instrument dafür ist der Auftragsverarbeitungsvertrag, kurz AVV. Dieser Beitrag erklärt, wann ein AVV erforderlich ist, welche Inhalte er nach der DSGVO enthalten muss und worauf Sie als Auftraggeber achten sollten. Dieser Beitrag bietet allgemeine Orientierung und ersetzt keine Rechtsberatung im Einzelfall — für die konkrete Vertragsgestaltung sollten Sie fachkundigen Rat einholen. Die DSGVO gilt unmittelbar in der gesamten EU und im EWR und damit auch in Deutschland und Österreich; die Schweiz kennt mit dem revidierten DSG ein eigenes, ähnlich strukturiertes Regime.

Wann ein AVV nötig ist

Ein Auftragsverarbeitungsverhältnis liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet, ohne über die Zwecke und Mittel der Verarbeitung selbst zu entscheiden. In Softwareprojekten ist das häufiger der Fall, als viele annehmen. Typische Konstellationen sind:

  • Die Agentur betreibt das Hosting Ihrer Anwendung, in der personenbezogene Daten Ihrer Kunden oder Nutzer gespeichert sind.
  • Support- oder Wartungspersonal der Agentur erhält Zugriff auf Produktivsysteme mit echten personenbezogenen Daten.
  • Die Agentur führt Fehleranalysen oder Migrationen durch und verarbeitet dabei reale Datensätze.
  • Ein Testdienstleister arbeitet mit personenbezogenen Produktivdaten statt mit anonymisierten Testdaten.

In all diesen Fällen verlangt Art. 28 DSGVO, dass die Verarbeitung durch den Auftragsverarbeiter auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgt, das den Auftragsverarbeiter an den Verantwortlichen bindet. Bloße reine Entwicklungsarbeit an Quellcode ohne jeden Zugriff auf echte personenbezogene Daten löst die AVV-Pflicht dagegen nicht zwingend aus — sobald aber realer Datenzugriff hinzukommt, ändert sich das. Im Zweifel sollten Sie die Frage früh klären, weil ein fehlender AVV ein Datenschutzverstoß sein kann.

Verantwortlicher oder Auftragsverarbeiter? Die Abgrenzung

Entscheidend ist die Rollenverteilung. Verantwortlicher ist, wer über Zwecke und Mittel der Verarbeitung entscheidet — in der Regel Sie als Auftraggeber, weil es um Ihre Kunden-, Nutzer- oder Mitarbeiterdaten geht. Auftragsverarbeiter ist, wer die Daten weisungsgebunden für den Verantwortlichen verarbeitet. Die Agentur handelt dann nur im Rahmen Ihrer dokumentierten Weisungen und verfolgt keine eigenen Zwecke mit den Daten.

Diese Abgrenzung ist wichtig, weil sie das richtige Vertragsinstrument bestimmt. Verarbeitet die Agentur Daten hingegen für eigene Zwecke und entscheidet selbst darüber, ist sie kein reiner Auftragsverarbeiter, sondern eigener Verantwortlicher — dann ist ein AVV das falsche Instrument, und es braucht eine andere datenschutzrechtliche Grundlage. Bei gemeinsamer Zweckbestimmung kann sogar eine gemeinsame Verantwortlichkeit vorliegen. Wer die Rolle falsch einordnet, schließt womöglich den falschen Vertrag. Eine saubere Bestandsaufnahme, welche Daten wohin fließen und wer worüber entscheidet, steht deshalb am Anfang — hilfreich ist dabei ein Blick in unsere eigene Datenschutz-Übersicht und gegebenenfalls die Unterstützung durch spezialisierte IT-Beratung.

Pflichtinhalte eines AVV nach Art. 28 DSGVO

Nach Art. 28 DSGVO muss der Vertrag oder das Rechtsinstrument bestimmte Angaben festlegen und die Pflichten des Auftragsverarbeiters regeln. Der Vertrag ist in Textform, also schriftlich oder in einem elektronischen Format, abzufassen. Zu den vorgeschriebenen Angaben und Regelungsgegenständen gehören insbesondere:

  • Gegenstand und Dauer der Verarbeitung.
  • Art und Zweck der Verarbeitung.
  • Art der personenbezogenen Daten (Datenarten) und die Kategorien betroffener Personen.
  • Die Weisungsbindung: Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen.
  • Die Vertraulichkeitsverpflichtung der zur Verarbeitung befugten Personen.
  • Die Ergreifung der erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zur Sicherheit der Verarbeitung.
  • Regelungen zu Unterauftragsverarbeitern — deren Einsatz nur mit Genehmigung und unter Weitergabe derselben Pflichten.
  • Die Unterstützung des Verantwortlichen, etwa bei der Beantwortung von Betroffenenanfragen und bei der Einhaltung der Sicherheits- und Meldepflichten.
  • Die Löschung oder Rückgabe der Daten nach Abschluss der Verarbeitung, nach Wahl des Verantwortlichen.
  • Der Nachweis der Einhaltung dieser Pflichten und die Ermöglichung von Überprüfungen und Audits.

Diese Inhalte sind keine Formsache, sondern der rechtliche Rahmen, der Ihre Kontrolle über die Daten absichert. Fehlen zentrale Elemente, genügt der Vertrag den Anforderungen des Art. 28 DSGVO nicht — mit entsprechendem Haftungs- und Bußgeldrisiko für Sie als Verantwortlichen.

In der Praxis stützen sich viele Anbieter auf vorformulierte AVV-Muster, die sie standardisiert bereitstellen. Das ist grundsätzlich zulässig und spart Zeit, entbindet Sie als Verantwortlichen aber nicht von der Prüfpflicht. Sie sollten das Muster daraufhin durchsehen, ob die konkrete Verarbeitung in Ihrem Projekt zutreffend beschrieben ist — insbesondere die tatsächlich betroffenen Datenarten, die Kategorien betroffener Personen und die vereinbarten Weisungswege. Ein generischer Baustein, der auf Ihr Vorhaben gar nicht passt, erfüllt seinen Zweck nicht, auch wenn er formal alle Überschriften enthält. Nehmen Sie sich die Zeit, die Anlagen und Beschreibungen an die Realität Ihres Projekts anzupassen.

Weisungsbindung: der Kern des Auftragsverhältnisses

Das prägende Merkmal der Auftragsverarbeitung ist die Weisungsbindung. Der Auftragsverarbeiter darf die personenbezogenen Daten grundsätzlich nur auf Ihre dokumentierte Weisung hin verarbeiten und nicht für eigene Zwecke verwenden. Damit dieser Grundsatz nicht ins Leere läuft, sollte der AVV festlegen, wer auf Ihrer Seite weisungsbefugt ist, in welcher Form Weisungen erteilt werden und wie mit Weisungen umzugehen ist, die aus Sicht der Agentur gegen Datenschutzrecht verstoßen. Üblich ist eine Pflicht der Agentur, Sie auf eine ihrer Auffassung nach rechtswidrige Weisung hinzuweisen. Diese Struktur stellt sicher, dass die Verantwortung für das Ob und Wie der Verarbeitung bei Ihnen bleibt, während die Agentur die Umsetzung übernimmt. Eine klare Weisungsdokumentation hilft Ihnen zugleich, im Rahmen Ihrer Rechenschaftspflicht nachzuweisen, dass die Verarbeitung geordnet und rechtmäßig abläuft.

Technische und organisatorische Maßnahmen (TOMs)

Ein besonders praxisrelevanter Baustein sind die TOMs. Sie beschreiben konkret, wie der Auftragsverarbeiter die Sicherheit der Verarbeitung nach Art. 32 DSGVO gewährleistet — etwa durch Zugangs- und Zugriffskontrollen, Verschlüsselung, Pseudonymisierung, Protokollierung, Verfügbarkeits- und Wiederherstellungskonzepte sowie regelmäßige Überprüfung der Wirksamkeit. Lassen Sie sich die TOMs als konkrete Anlage zum AVV geben und prüfen Sie, ob sie zum Schutzbedarf Ihrer Daten passen. Pauschale Ein-Satz-Beschreibungen sind ein Warnzeichen. Bei erhöhtem Schutzbedarf kann es sinnvoll sein, die Maßnahmen durch Fachleute aus dem Bereich Cybersecurity bewerten zu lassen.

Unterauftragsverarbeiter im Blick behalten

Nur selten arbeitet eine Agentur allein. Sie nutzt womöglich Cloud-Anbieter, E-Mail-Dienste, Monitoring-Tools oder externe Spezialisten — allesamt potenzielle Unterauftragsverarbeiter. Der AVV muss regeln, ob und wie die Agentur weitere Subverarbeiter einsetzen darf, dass diese denselben Datenschutzpflichten unterliegen und dass Sie über beabsichtigte Änderungen informiert werden und diesen widersprechen können. Achten Sie besonders auf Datenübermittlungen in Drittländer außerhalb des EWR, für die zusätzliche Garantien erforderlich sein können. Eine aktuelle Liste der eingesetzten Subverarbeiter sollte jederzeit verfügbar sein.

Löschung, Rückgabe und Unterstützung nach Projektende

Ein Punkt, der im Projektalltag gern übersehen wird, betrifft das, was am Ende geschieht. Der AVV muss regeln, dass die Agentur nach Abschluss der Verarbeitung die personenbezogenen Daten nach Ihrer Wahl löscht oder zurückgibt und vorhandene Kopien entfernt, soweit nicht eine gesetzliche Aufbewahrungspflicht entgegensteht. Klären Sie dabei praktisch, in welchem Format eine Rückgabe erfolgt, innerhalb welcher Frist und wie die Löschung nachgewiesen wird. Andernfalls riskieren Sie, dass Restbestände Ihrer Kundendaten in Backups oder Testumgebungen der Agentur verbleiben, ohne dass Sie davon wissen.

Ebenso bedeutsam ist die Unterstützungspflicht während der laufenden Zusammenarbeit. Meldet sich eine betroffene Person und macht ihre Rechte geltend — etwa auf Auskunft, Berichtigung oder Löschung —, müssen Sie darauf fristgerecht reagieren. Da die Daten technisch bei der Agentur liegen, sind Sie auf deren Mithilfe angewiesen. Der AVV sollte deshalb konkrete Reaktionszeiten und Ansprechpartner benennen. Gleiches gilt für den Fall einer Datenschutzverletzung: Stellt die Agentur einen Vorfall fest, muss sie Sie unverzüglich informieren, damit Sie Ihren eigenen Melde- und Benachrichtigungspflichten nachkommen können. Eine träge oder unklare Informationskette kann hier schnell zu einem eigenständigen Verstoß führen.

Praktische Checkliste für Auftraggeber

  • Klären Sie zu Projektbeginn, ob und wo die Agentur mit echten personenbezogenen Daten in Kontakt kommt.
  • Ordnen Sie die Rollen sauber ein: Sind Sie Verantwortlicher und die Agentur Auftragsverarbeiter?
  • Schließen Sie vor Beginn der Verarbeitung einen AVV in Textform mit allen Pflichtinhalten des Art. 28 DSGVO.
  • Verlangen Sie eine konkrete, prüfbare TOM-Anlage statt pauschaler Formulierungen.
  • Lassen Sie sich die Liste der Unterauftragsverarbeiter geben und regeln Sie Informations- und Widerspruchsrechte.
  • Prüfen Sie Regelungen zu Drittlandübermittlungen und zu den erforderlichen Garantien.
  • Vereinbaren Sie klar, dass Daten nach Projektende auf Ihre Wahl gelöscht oder zurückgegeben werden.
  • Sorgen Sie dafür, dass die Agentur Sie bei Betroffenenanfragen und bei Datenschutzvorfällen zeitnah unterstützt.

Diese Prüfpunkte gehören schon in die Auswahl- und Vergleichsphase. Wie Sie Anbieter strukturiert gegenüberstellen, zeigt unser Ratgeber zum Vergleich von Angeboten; wie Sie insgesamt eine vertrauenswürdige Agentur erkennen, behandelt der Beitrag Seriöse Agentur erkennen.

Häufige Fragen

Brauche ich immer einen AVV, wenn ich eine Agentur beauftrage?

Nicht in jedem Fall, aber immer dann, wenn die Agentur personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung verarbeitet — etwa beim Hosting, Support mit Produktivdatenzugriff oder bei Wartung mit echten Datensätzen. Reine Entwicklung ohne jeden Zugriff auf echte personenbezogene Daten löst die Pflicht nicht zwingend aus. Sobald realer Datenzugriff hinzukommt, verlangt Art. 28 DSGVO einen entsprechenden Vertrag.

In welcher Form muss der AVV geschlossen werden?

Art. 28 DSGVO verlangt einen Vertrag oder ein anderes Rechtsinstrument in Textform; das umfasst auch ein elektronisches Format. Eine eigenhändige Unterschrift auf Papier ist nicht zwingend, entscheidend ist die dokumentierte, nachweisbare Vereinbarung mit den vorgeschriebenen Inhalten. Aus Beweisgründen empfiehlt sich eine klar dokumentierte, von beiden Seiten bestätigte Fassung.

Was ist der Unterschied zwischen Auftragsverarbeitung und eigener Verantwortlichkeit?

Ein Auftragsverarbeiter handelt weisungsgebunden und verfolgt keine eigenen Zwecke mit den Daten — dafür ist der AVV das richtige Instrument. Entscheidet der Dienstleister dagegen selbst über Zwecke und Mittel, ist er eigener Verantwortlicher, und ein AVV wäre die falsche Grundlage. Bei gemeinsamer Zweckbestimmung kann eine gemeinsame Verantwortlichkeit mit eigener Vereinbarung vorliegen. Die richtige Einordnung sollte im Zweifel fachkundig geprüft werden.

Wer haftet, wenn kein AVV geschlossen wurde?

Als Verantwortlicher tragen Sie die datenschutzrechtliche Verantwortung für die Verarbeitung Ihrer Daten und damit ein erhebliches Risiko, wenn ein erforderlicher AVV fehlt. Ein fehlender oder unvollständiger AVV kann als eigenständiger Verstoß gewertet werden. Auch der Auftragsverarbeiter trifft eigene Pflichten. Wegen der Bußgeldrisiken sollten Sie den AVV vor Beginn der Verarbeitung abschließen und nicht nachträglich.

Gilt die DSGVO auch, wenn die Agentur im Ausland sitzt?

Die DSGVO gilt einheitlich in der EU und im EWR und knüpft nicht allein an den Sitz des Dienstleisters an, sondern auch an die Verarbeitung im Kontext Ihrer Niederlassung und an betroffene Personen in der EU. Sitzt die Agentur oder ein Subverarbeiter in einem Drittland außerhalb des EWR, sind zusätzliche Garantien für die Datenübermittlung erforderlich. Die Schweiz hat ein eigenes, an die DSGVO angelehntes Datenschutzgesetz, das im Detail abweichen kann.

Passende Agentur finden: Achten Sie schon bei der Auswahl auf datenschutzkonforme Prozesse. Vergleichen Sie erfahrene Partner in der Softwareentwicklung oder spezialisierte Anbieter aus der IT-Beratung, die Auftragsverarbeitung und TOMs professionell handhaben.

Schlagwörter

RechtDSGVODatenschutzAVVAuftragsverarbeitung

Keine Zeit zum Vergleichen? Beschreiben Sie Ihr Projekt – wir schlagen Ihnen passende Agenturen vor, kostenlos und unverbindlich.

TeilenLinkedInXE-Mail

Redaktion

Die Redaktion von deine-agenturen.com informiert Sie regelmäßig über aktuelle Themen rund um Softwareentwicklung, Webdesign und digitale Dienstleistungen.

Alle Artikel anzeigen